Kişisel Verilerin Yurt Dışına Aktarımı

Makaleler -
Kişisel Verilerin Korunması ve Gizlilik Gün + Partners

Değişiklik Kanunu öncesi dönemde Kanun uyarınca kişisel veriler çoğunlukla veri sahibinin açık rızası ile yurtdışına aktarılabilmekteydi çünkü mevzuatta yer alan diğer hukuki nedenlerin uygulama alanı ya mevcut değil ya da uygulanabilir değildi. Kanun’un yayım tarihi olan 2016’dan bu yana Kurul tarafından, yeterli koruma sağlayan ülkelerin bir listesinin halen belirlenmemiş olması, uygulamada yurtdışına kişisel veri aktarımı hususunu oldukça dar ve zorlu bir alana sıkıştırmaktaydı ve açık rıza alınması yurtdışına kişisel veri aktarımı konusunda uygulanabilecek tek yöntem olarak kalmasına sebebiyet vermekteydi.

Ticari ilişkileri de olumsuz yönde etkileyen bu konuya ilişkin önemli adımlar da Değişiklik Kanunu ile birlikte 1 Haziran 2024 tarihinde yürürlüğe girmiştir. Bu kapsamda Değişiklik Kanunu yurtdışına veri aktarımı açısından üç aşamalı bir değerlendirme sistemi öngörülmüştür. Bu çerçevede, yürürlüğe giren değişiklikler ile kişisel verilerin, Kanun’daki hukuki işleme sebeplerinden birinin varlığı halinde, Kurul tarafından verilecek yeterlilik kararının bulunması durumunda yeterlilik kararının kapsamına uygun olarak yurt dışına aktarılabileceği ve yeterlilik kararının bulunmadığı durumlarlarda ise, Kanun’da sayılan uygun güvencelerden birinin ilgili taraflarca sağlanması halinde yurt dışına aktarılabileceği düzenlenmiştir.

Değişiklik ile birlikte yürürlükteki yeni yurtdışına aktarım şartları sistematiği kapsamında;

  • Yeterlilik Kararının bulunması halinde kişisel verilerin yurtdışına aktarılması

Kanun’un 5’inci ve 6’ıncı maddelerinde belirtilen hukuki sebeplerden birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektör veya uluslararası kuruluş hakkında yeterlilik kararı bulunması halinde kişisel veriler, sonraki aktarımlar da dâhil olmak üzere yurt dışına aktarılabilecektir. Kurul, diğer bazı kriterler ile birlikte esas olarak karşılıklılık prensibi çerçevesinde yeterlilik kararı verme hususunda karara varacaktır. Söz konusu yeterlilik kararının periyodik olarak gözden geçirilmesi de düzenlemeler arasında yer almaktadır.

Kurul tarafından verilecek yeterlilik kararlarının ülkelere ek olarak uluslararası kuruluş veya ülke içerisindeki sektörler hakkında da verilebileceği, verilen bu kararlara uygun olarak yurt dışına veri aktarımı yapılabileceği öngörülmüştür.

  • Yeterlilik Kararının bulunmaması halinde Uygun Güvencelerden birinin sağlanması ile kişisel verilerin yurtdışına aktarılması

Kurul tarafından bir yeterlilik kararı bulunmadığı hallerde, kişisel veriler aşağıda sıralanan uygun güvencelerden birinin sağlanması ve Kanun’daki hukuki sebeplerden birinin de bulunması koşuluyla yurt dışına aktarılabilecektir:

  • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
  • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
    • (i) Şirketler topluluğuna mensup veri sorumluları grup içi veri aktarımları konusunda ilan edilen kılavuzlara uygun olarak bağlayıcı şirket kuralları hazırlayarak Kurul’un onayın sunabilecektir. Bu bağlayıcı şirket kurallarının Kurul tarafından onaylanması sonrasında bu şirketler topluluğuna üye şirketler arasında yurt dışı veri aktarımı yapılabilecektir. Hazırlık ve onay süreçlerinin uzun sürmesi öngörülse de grup içi veri aktarımları için kalıcı bir yöntem olarak şekillenmektedir.
  • Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı,
    • (i) Değişiklik Kanunu ile birlikte getirilen en önemli değişikliklerden biri olarak değerlendirilen standart sözleşmeler GDPR bünyesinde bulunan “Standard Contractual Clauses” benzeri bir mekanizma olarak karşımıza çıkmaktadır.
    • (ii) Ancak Kanun kapsamındaki standart sözleşmelerin uygulamasında, GDPR kapsamındaki Standard Contractual Clauses uygulamasından önemli farklılıklar bulunmaktadır. Kurul tarafından ilan edilmiş bulunan standart sözleşme metinlerinin üzerlerinde özellikle izin verilen haller haricinde hiçbir değişiklik yapılmadan imzalanması ve imzalanan sözleşmelerin de imzacıların imza yetkilerini tevsik edici belgeler ile birlikte Kurum’a imza tarihinden itibaren 5 iş günü içerisinde bildirilmesi zorunlu tutulmuştur.
    • (iii) Ayrıca ilan edilen standart sözleşmeler veri alıcısı ve veri aktaran taraflara ilişkin olarak oldukça kapsamlı bir hazırlık gerektirmekte ve aşağıdaki konulara ilişkin bilgilerin sağlanmasını gerektirmektedir:
      1. veri aktaran tarafın ve veri alıcısı olan tarafın aktarılan kişisel verilere ilişkin faaliyetleri,
      2. aktarılan kişisel verilerin ilgili kişi grupları,
  • aktarılan kişisel veri kategorileri ve varsa aktarılan özel nitelikli kişisel veri kategorileri,
  1. aktarımın hukuki sebebi,
  2. aktarım sıklığı,
  3. veri işleme faaliyetinin niteliği,
  • veri aktarımının ve devamında gerçekleştirilecek işleme faaliyetinin amaçları,
  • kişisel verileri saklama süresi,
  1. alıcılar veya alıcı grupları,
  2. veri aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) bilgileri,
  3. veri İşleyene ve Alt Veri İşleyene aktarımlarda işleme faaliyetinin konusu, niteliği ve süresi,
  • alınan teknik ve idari tedbirler, ve varsa özel nitelikli kişisel verilerin aktarılması halinde bunlar bakımından ayrıca alınan teknik ve idari tedbirler ve
  • varsa, alt veri işleyenlerin listesi
  • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
  • Son olarak, bir yeterlilik kararı bulunmaması veya aktarım yapacak olan veri sorumluları tarafından uygun güvenlerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla, bir diğer anlatımla düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içerisinde bulunmayan bazı sınırlar haller için bazı istisnalar öngörülmüştür. Ancak söz konusu istisna halleri sınırlı haller için geçerli olabileceğinden veri sorumlularının olağan ve düzenli iş süreçleri dahilindeki yurt dışı veri aktarım süreçlerinde aşağıdaki sebeplere dayanmaması ve Kanun’da belirtilen diğer uygun güvenceleri sağlayacak şekilde süreçlerini düzenlemesi önerilmektedir:
  • ilgili kişilerin muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermeleri,
  • aktarımın ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
  • aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
  • aktarımın üstün bir kamu yararı için zorunlu olması,
  • bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
  • fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
  • kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Dikkat edilmesi gerekir ki, Değişiklik Kanunu ile birlikte açık rıza hukuki sebebine dayalı aktarımlar yalnızca arızi durumlarda kabul edilen şekilde düzenlenmiştir. Değişiklik öncesi dönemde uygulamadaki yurt dışı veri aktarımlarının çoğu açık rızaya dayanmakta olduğundan Değişiklik Kanunu kapsamında Kanun’a bir geçici madde eklenerek yurt dışı veri aktarımlarında bir geçiş süreci öngörülmüş ve 1 Eylül 2024 tarihine kadar açık rıza hukuki sebebine dayanılarak yurt dışı veri aktarımına devam etme imkanı sağlanmıştır. Bu çerçevede, 1 Eylül 2024 tarihinden sonraki dönemde veri sorumlularının düzenli şekilde gerçekleştirdikleri yurt dışı veri aktarımı süreçlerinde, henüz bir yeterlilik kararı da olmadığı göz önünde bulundurularak, mutlaka Kanun’da öngörülen uygun güvencelerden birini sağlamaya dikkat etmeleri gerekmektedir. Güncel durumda geçiş hükmü ile sağlanan uyum periyodunun da sona erdiği göz önünde bulundurularak yurt dışı veri aktarım süreçlerini uyumlu hale getirmemiş bulunan veri sorumlularının ivedilikle yurt dışı veri aktarım süreçlerinin kapsamlarını detaylı bir şekilde belirlemesi, hangi şirketlere veri aktarımı yaptığını tespit etmesi ve öngörülen uygun güvencelerden birini sağlamak üzere çalışmalarını hızlıca tamamlaması önerilmektedir.

Son olarak, Değişiklik Kanunu ile birlikte Kanun’a yeni idari para cezası eklenmiştir. Yukarıda belirtildiği üzere veri sorumluları ve veri işleyenlere getirilen yurt dışı aktarımı için imzalayabilecekleri standart sözleşmeleri 5 iş günü içerisinde Kurum’a bildirme yükümlülüğüne aykırı davranılması halinde hem veri sorumluları hem de veri işleyenler hakkında yeniden değerleme oranı ile birlikte 2025 yılı için 71.965 TL ile 1.439.300 TL olarak uygulanacaktır. Veri sorumlularının mevcut yurt dışı veri aktarımı süreçlerinde uygun bir güvencenin 1 Eylül 2024 tarihine kadar sağlanmamış olduğunun tespiti halinde ise 2025 yılı için 204.285 TL’den 13.620.402 TL’ye kadar idari para cezası uygulanması riski mevcuttur.

Aboneliğinizi Yönetin

Güncel hukuki görüşlerimiz ve etkinliklerimiz hakkında özelleştirilmiş bilgilendirme için abone olun.

Abone Olun